Hoofdstuk 3 
Controlemaatregelen 


We bespreken hieronder enkele controlemaatregelen die genomen kunnen worden om de 
interne controle te verbeteren. Bij de keuze van de controlemaatregelen is het belangrijk 
dat we de kost van de maatregel afwegen tegenover de kost van het risico , of de fout 
die we met deze maatregel willen voorkomen of detecteren. Dat noemen we de efficiën- 
tie van de controlemaatregel. 


1 Functiescheiding 
1.1 Wat is controletechnische functiescheiding? 


De scheiding van de activiteiten in een organisatie over verschillende medewerkers leidt 
in het algemeen tot een functionele indeling van de organisatie (bv. inkoop, verkoop 
enz.). In het kader van de interne controle hanteren we niet zozeer de term functionele 
functiescheiding maar wel controletechnische functiescheiding. 


Het doel van de controletechnische functiescheiding is ervoor te zorgen dat geen enkele 
functionaris in staat is waarden aan de organisatie te onttrekken zonder dat dit sporen 
achterlaat in het informatiesysteem. 


Met andere woorden: een werknemer zou niet in de mogelijkheid mogen verkeren om een 
door hem gepleegde diefstal van activa van de onderneming te verdoezelen door zelf 
documenten of gegevens te vervalsen. 


De controletechnische functiescheiding wordt bereikt door de functies zo in te delen dat 
ze minimaal worden onderscheiden in: 

> de beschikkende (of beherende) functie; 

> de bewarende functie; 

> de registrerende functie; 

> de controlerende functie. 
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De beschikkende functie in een bepaald proces zorgt voor het verstrekken van de 
opdracht en neemt de beslissingen met betrekking tot dat proces. Men noemt dit ook de 
goedkeurende of autoriserende functie. Voorbeelden: aankopers, verkopers, financieel 
directeur enz. 


De bewarende functie in een bepaald proces is gehouden tot het bewaren van goederen, 
gelden, gegevens. Deze waarden mogen uitsluitend ontvangen of afgegeven worden op 
machtiging van de beschikkende functie. De bewarende functie moet tevens verantwoor- 
dingsinformatie verstrekken aan de registrerende functie. Voorbeelden: magazijnier, kas- 
sier, databasebeheerder enz. 


De registrerende functie zal de gegevensverwerking zoveel mogelijk onafhankelijk van 
de beschikkende en bewarende functies verzorgen. Voorbeeld: boekhouding, voorraadad- 
ministratie enz. 


Ten slotte moet de controlerende functie de juistheid en volledigheid van de verstrek- 
te opdracht controleren en nagaan of de uitvoering ervan met de opdracht overeenstemt. 
Voorbeeld: interne audit, factuurcontrole enz. 


In feite gaat functiescheiding over het in bescherming nemen van mensen tegen zich- 
zelf, door hen niet in verleiding te brengen om te frauderen. 


Het basisprincipe is dus dat de leiding maatregelen moet nemen, die ervoor zorgen dat 
de verschillende functies (beschikken, bewaren, registreren en controleren) binnen een- 
zelfde proces over verschillende personen worden verdeeld, zodat: 
- ieder van hen slechts een beperkt aantal schakels, doch nooit twee opeenvol- 
gende, van het totale proces kan beïnvloeden; 
- de beslissing tot het beschikken over waarden alleen genomen kan worden door 
personen die niet zelf bij de bewaring zijn betrokken; 
- personen die belast zijn met het beheer of de bewaring nooit deel uitmaken van 
de registrerende functie, omdat met deze gegevens controle wordt uitgeoefend op 
hun activiteiten. 


Ook binnen één functie is het beter om op termijn scheidingen te creëren door bv. niet 
alle beschikkingsbevoegdheden aan één enkele persoon toe te kennen. Iemand die 
bevoegd is voor de aankopen, is best niet bevoegd voor de verkopen, omdat in dat geval 
de kans bestaat dat verkopen gecompenseerd worden met aankopen en de daarop 
gemaakte winsten buiten de boekhouding worden gehouden. 


Men moet steeds in het achterhoofd houden dat bovenvermelde functies niet altijd vol- 
ledig door mensen ingevuld worden. Steeds vaker worden bepaalde functies of delen 
ervan overgenomen door geautomatiseerde systemen. Zo wordt bv. de registrerende func- 
tie binnen het verkoopproces in een supermarkt door de kassa(computer) uitgevoerd en 
zorgt de automatische link tussen de streepjescode op het product en de prijs ervan 
(gedeeltelijk) voor de controlerende functie. 


1.2 Voorbeelden van controletechnische functiescheiding 

1.2.1 Functiescheiding bij de uitvoering van de salarisadministratie 

Er zijn veel voorbeelden te geven van een functiescheiding bij de uitvoering van de 
salarisadministratie. Belangrijk is dat er steeds aandacht wordt geschonken aan die ele- 
menten waar een gelijklopend belang kan bestaan, zodat ze op basis van functieschei- 
ding uit elkaar kunnen gehaald worden. 


Voorbeelden: 

> de registrerende functie van financiële feiten met betrekking tot het uitbetalen van 
de salarissen vindt plaats door de boekhouding en niet door de personeelsafdeling; 

> de opdracht tot het betalen van de salarissen ligt niet in dezelfde hand als de uitbe- 
taling van de salarissen zelf; 

> het aanwerven van personeel en het vaststellen van de arbeidsvoorwaarden vindt 
plaats door verschillende personen. 


1.2.2 Functiescheiding bij de uitvoering van een aankoop 


De persoon die een bestelling plaatst (de afdeling inkopen), moet een andere zijn dan 
de persoon die de afleveringsbon aftekent (de afdeling die de goederen nodig heeft) als 
bewijs dat de goederen in goede orde zijn ontvangen. Het is dan weer best een andere 
persoon die de aankoopfactuur betaalt (afdeling financiën). 


1.2.3 Functiescheiding bij de ontwikkeling van een nieuwe IT-toepassing 


Elke nieuw te ontwikkelen IT-toepassing moet verschillende ontwikkelingsfasen doorlo- 
pen. De belangrijkste fasen zijn: 

> de analysefase; 

> de programmatiefase; 

> de testfase; 

> de fase waarbij het uitgeteste programma in productie geplaatst wordt. 
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Functiescheiding bestaat erin dat verschillende personen belast zijn met de uitvoering 
van de opeenvolgende fasen en dat een volgende fase pas kan aanvangen op het ogenblik 
dat de persoon die instaat voor de realisatie van de vorige fase zijn akkoord hiertoe heeft 
verleend. 


Zo wordt onder meer vermeden dat de persoon die een toepassing in productie plaatst 
dezelfde is als de persoon die de toepassing heeft geschreven. 


1.2.4 Functiescheiding bij de creatie van computer-id’s 


Hierbij moet ervoor gezorgd worden dat niemand de combinatie van gebruikers-id's en 
wachtwoorden samen kan aanmaken. 


1.3 Functievermenging en samenspanning 


We spreken over functievermenging wanneer iemand belast is met twee of meer naar hun 
controletechnische aard verschillende functies, bv. één persoon die zowel een beschik- 
kende als een bewarende functie bezit. Bij de kmo zien we dat heel vaak voorkomen. Het 
is vaak onoverkomelijk omdat een volledige functiescheiding hier meestal niet haalbaar 
Is, gezien het eerder beperkte aantal werknemers. 


Functievermenging krijgt echter pas een negatief karakter wanneer sprake is van samen- 
voeging bij één functionaris van op elkaar aansluitende functies binnen de kringloop van 
geld en goederen, m.a.w. binnen hetzelfde proces. In dat geval is het niet meer mogelijk 
om de juistheid van de handelingen te controleren. 


Wanneer de functies beschikken, bewaren, registreren en controleren wel gescheiden 
zijn, maar twee of meer functionarissen zodanig gaan samenwerken dat ze bewust een 
foutieve registratie van de bedrijfshandelingen bewerkstelligen, spreken we van samen- 
spanning. 


Samenspanning heeft altijd tot doel om te frauderen. Samenspanning wordt moeilij- 
ker naarmate het aantal functionarissen groter wordt. 


De maatregelen om samenspanning te voorkomen of te ontdekken, zijn onder meer de 

volgende: 

> taakrotatie: de werknemers krijgen regelmatig een andere taak zodat zij niet steeds 
met dezelfde personen kunnen samenwerken of niet altijd dezelfde gegevens of waar- 
den kunnen bewerken; 


> het werk regelmatig door iemand anders laten uitvoeren zodat onregelmatigheden 
aan het licht kunnen komen; 
> het uitvoeren van een cijferbeoordeling om onregelmatigheden op te sporen. 


1.4 Rolanalyse 


Om na te gaan of er wel degelijk sprake is van een goede controletechnische functie- 
scheiding in een bepaald proces kan men gebruikmaken van de zogenaamde rolanalyse. 
Voor elk (deel)proces wordt daarbij aangeduid welke functionaris welke rollen vervult en 
moeten we erop toezien dat er geen problematische overlappingen zijn (opeenvolgende 
functies binnen hetzelfde proces die door dezelfde functionaris uitgevoerd worden). 


De rollen zijn: 
> autoriseren: 
> bewaren; 

> registeren; 
> controleren. 


2 Correcte autorisaties en delegaties 


Een autorisatie is een machtiging die het management geeft aan ondergeschikten om 
bepaalde activiteiten uit te voeren en/of om bepaalde beslissingen te nemen. 


2.1 Functiebeschrijvingen 


Om de missie en doelstellingen van een organisatie of bedrijf optimaal te realiseren moet 
er onder meer naar gestreefd worden alle personeelsleden zinvolle taken te laten opne- 
men die rechtstreeks deze missie ondersteunen en vorm geven. 


Dat geheel aan zinvolle taken vormt een functie waaraan bevoegdheden en verantwoor- 
delijkheden zijn gekoppeld. Deze functie heeft een plaats binnen de globale organisatie 
of bedrijf. Hoe beter de functieomschrijving, hoe efficiënter de organisatie en hoe per- 
formanter het realiseren van de missie en de doelstellingen kan worden. 


2.1.1 Wat is een functiebeschrijving? 


Een functiebeschrijving is een heldere en gedetailleerde weergave van de relatief perma- 
nente aspecten van een functie, een taak, een opdracht en de verantwoordelijkheden 
van die functie. 
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De vragen hierbij zijn: 
wat wordt verwacht en waarom? 
welke kennis en competentie is nodig? 


V 


hoe moet de functie worden vervuld? 
waar past de functie in de organisatie? 


V 


V 


De functiebeschrijving is dus het kader waarbinnen elke medewerker constant evolueert. 


Elk Wat is de bedoeling van een functiebeschrijving? 


Veel functieomschrijvingen zijn vaak uitgebreide logboeken met omslachtige en statische 
Informatie over taken die stap voor stap beschreven staan. Een functiebeschrijving moet 
echter een kernachtige en accurate beschrijving zijn, die een zekere dynamiek waar- 
borgt. Een functiebeschrijving kan als instrument worden ingezet bij een selectieproce- 
dure, de werkorganisatie, de beoordeling van medewerkers, de functieclassificatie, het 
loonbeleid enz. 


Een functiebeschrijving geeft een antwoord op de vraag: hoe draag ik bij tot de missie 
of doelstelling van mijn organisatie of bedrijf. Ze geeft bijgevolg de betrokkene (en de 
anderen) inzicht in de functie, in het waarom van zijn taken. Als men weet waarom men 
lets doet, doet men het wellicht liever en beter. Bovendien worden de verantwoordelijk- 
heden beter afgelijnd, zowel voor de betrokkene als voor zijn hiërarchisch hogere. 


Functiebeschrijvingen zijn een basiselement binnen het HR-beleid, doordat ze evaluatie- 
criteria vormen en bijgevolg evaluatie mogelijk maken. Functiebeschrijvingen zijn ook 
interessant voor vacatures en nieuwe personeelsleden, doordat ze een schat aan infor- 
matie bevatten. Ze versnellen en vergemakkelijken het inloopproces van nieuwe mede- 
werkers. 


2.2 Delegatieregels/goedkeuringsniveaus 


Goede afspraken maken goede vrienden. Wanneer delegatieregels niet duidelijk zijn vast- 
gelegd, zal men voortdurend geconfronteerd worden met schemerzones. Heel dikwijls zal 
na de feiten de vraag opduiken of iemand een bepaalde bevoegdheid wel had of niet. 
Men riskeert daardoor al te zeer dat afspraken geschonden en/of controles vermeden 
worden. 


2.2.1 Waarom delegatieregels? 


> de persoon die delegeert, kan ondertussen eigen/andere taken uitvoeren (visie, plan- 
ning enz.); 
ontwikkelen van competenties en motivatie bij medewerkers; 
beslissingen worden op het niveau genomen waar wellicht de beste ‘veldkennis aan- 
wezig 1s; 

> de efficiëntie en effectiviteit binnen de organisatie stijgen. 


2.2.2 Wat is delegatie? 


Delegatie is niet de managementverantwoordelijkheid afgeven, maar wel de operationele 
verantwoordelijkheid (het werk) doorgeven. Dat betekent dat er na delegatie steeds 
controle moet volgen. 


2.3 Regels voor vervanging 


Een doordacht systeem van functiescheiding uitwerken binnen een organisatie of bedrijf 
is noodzakelijk om een betrouwbare interne organisatie uit te bouwen. Maar wat gebeurt 
er als een medewerker plots ziek valt, op vakantie vertrekt? Vervallen dan plots alle 
basisprincipes inzake functiescheiding? Neen, natuurlijk niet. 


Er moeten bijgevolg regels uitgewerkt worden binnen de organisatie of het bedrijf die 
hierop anticiperen. Regels voor vervanging zijn een sterkte voor de organisatie of het 
bedrijf doordat er vanuit controletechnisch oogpunt een blik wordt geslagen op elkaars 
manier van werken. 


In de praktijk kunnen bij grote bedrijven of organisaties de strikte eisen van functie- 
scheiding blijvend gerespecteerd worden, zelfs als in een plotse vervanging moet voor- 
zien worden. 


In kleinere organisaties is dat echter veel moeilijker te realiseren, gewoon door het 
gebrek aan mensen. Dat zal meestal tot gevolg hebben dat er tijdelijk een minder strik- 
te functiescheiding zal bestaan, met een zwakkere interne controle tot gevolg. Dat kan 
opgevangen worden door andere vormen van controle tijdelijk te versterken: bv. het 
intensifiëren van de externe controle door de commissaris van het bedrijf. 
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Anderzijds is het steeds een knipperlicht voor de organisatie of het bedrijf als er perso- 
neelsleden zijn die zich niet laten vervangen, doordat ze bv. weinig of geen vakantie 
opnemen. Dat is op het eerste gezicht een toonbeeld van ijver, maar het kan soms bete- 
kenen dat er niet wordt getolereerd dat anderen een blik slaan op hun werkwijze. 
Misschien wil de medewerker een bepaalde bezigheid verbergen die voor het bedrijf 
nadelig is … 


3 Het gebruiken van geschikte documenten/formulieren 


Het gebruik van geschikte documenten en formulieren is een belangrijk onderdeel in het 
geheel van controlemaatregelen dat elk bedrijf of elke organisatie moet uitbouwen. 
Uiteraard gaat het hier niet alleen om papieren gegevensdragers. Ook elektronische 
documenten en formulieren moeten idealiter voldoen aan de onderstaande voorwaarden. 


3.1 Basisvoorwaarden waaraan deze documenten moeten voldoen 


Documenten die gebruikt worden in een organisatie hebben idealiter een vaste lay-out. 
Het gebruik van voorgedrukte formulieren is vaak een voorwaarde om efficiënt te kun- 
nen werken. 


Het meest voorkomende document dat in quasi elk bedrijf een vaste lay-out heeft of 
voorgedrukt is, is de factuur. De wet bepaalt namelijk zoveel vormvereisten voor de fac- 
tuur, dat een bedrijf zich niet kan veroorloven op dat vlak fouten te maken. 


Maar ook in andere processen zijn documenten met een vaste lay-out gebruikelijk, omdat 
ze de controle vergemakkelijken en de kans op fouten en vergetelheden verkleinen. In 
de aankoopcyclus worden bv. meestal voorgedrukte formulieren gebruikt om een bestel- 
ling op te maken (bestelbon) en om een ontvangst te documenteren (leveringsbon). 


Als documenten verschillende geadresseerden hebben, worden best verschillende kleuren 
gehanteerd. Dat vereenvoudigt eveneens de controle en de archivering. 


Om de volledigheid van een proces te garanderen, worden documenten best voorgenum- 
merd. Dat laat toe om sneller te controleren of er elementen ontbreken in een adminis- 
tratief proces. 


3.2 Vastleggen van de volmachtdragende handtekeningen 


Een handtekening of een paraaf is het bewijs van iemands tussenkomst. Ze leveren het 
bewijs van controle. 

De draagwijdte van een handtekening kan echter verschillend zijn: zo kan een handte- 
kening getuigen van een verificatie van een hoeveelheid, van het nazicht van de kwali- 
teit of van de rekenkundige juistheid. 


Nadat binnen een organisatie of bedrijf werd vastgelegd welke personen gemachtigd zijn 
om deze, intern of extern, te verbinden, moet dus bepaald worden wie gemachtigd is om 
te tekenen en welke betekenis de handtekening heeft. 


Documenten moeten dan zo ontworpen worden dat er een vaste plaats is voor de auto- 
riserende handtekeningen en dat duidelijk is wat er precies geautoriseerd wordt met deze 
handtekening(en). 


4 Het beveiligen van activa en informatie 
4.1 Toegang beperken 
4.1.1 Fysieke toegangsbeveiliging 


In onze privésfeer is één van de basisprincipes van inbraak- en diefstalpreventie dat bij 
afwezigheid, steeds ramen en deuren van een huis worden afgesloten. Soortgelijke prin- 
cipes gelden voor elke organisatie of bedrijf. Vanuit controleoogpunt is het aan te beve- 
len dat de bedrijfssite volledig omheind is. De toegangspoort of de ingang wordt bewaakt 
door een portier of via cameratoezicht. Het getuigt niet van een deugdelijk controlesys- 
teem wanneer een wildvreemde zich zomaar naar het magazijn kan begeven, zonder dat 
iemand binnen de organisatie hem vraagt zich te legitimeren of zijn toegangsbadge con- 
troleert. 


Volgende aandachtspunten zijn dus van belang om de fysieke toegang te beoordelen: 


> toegang tot de bedrijfsruimten 
- toegangscontrolesysteem voor personen, voertuigen en goederen; 
- standaardprocedures bij onrechtmatige indringing. 


> fysieke beveiliging 
- beveiliging van de buitenbegrenzing van de bedrijfsruimten; 
- sluiting of bewaking van deuren en poorten; 
- adequate sloten en verlichting van gebouwen en terreinen; 
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- procedures voor de toegang tot sleutels en het dupliceren ervan; 
— procedures voor het parkeren van particuliere voertuigen; 
— procedures voor controle en onderhoud van buitenbegrenzing en gebouwen. 


4.1.2 Elektronische toegangsheveiliging 


De meest voorkomende elektronische toegangsbeveiliging is die via paswoorden. Een 


beveiligde pc kan slechts opgestart worden als het juiste paswoord wordt ingegeven. Een 
bankkaart kan slechts gebruikt worden na het invoeren van de juiste pincode. Het 


gebruik van elektronische beveiliging via toegangsleutels is eenvoudig en efficiënt. 


Om de beveiliging sluitend te maken en te houden, moet aandacht besteed worden aan 
een aantal principes: 


> 


er moet op toegezien worden dat paswoorden persoonlijk zijn en blijven en niet 
worden gedeeld met collega's; 

paswoorden moeten periodiek gewijzigd worden (bv. per kwartaal); 

paswoorden moeten voldoende lang zijn en liefst één of meerdere cijfers, letters of 
speciale tekens bevatten; 

paswoorden mogen niet op een gemakkelijk traceerbare plaats bewaard worden. Het 
paswoord noteren op een briefje en dat op het scherm van je pc kleven, resulteert in 
een totaal gebrek aan beveiliging; 

automatische logging? voor toegang tot persoonsgegevens. 


Voor geautomatiseerde systemen is de beveiliging prioritair. Om niet-geautoriseerde toe- 


gang te voorkomen, de juistheid van gegevens te behouden en het correcte gebruik van 
gegevens te garanderen, moeten doelgerichte fysieke, elektronische en managementpro- 


cedures ingesteld worden voor het veiligstellen en beveiligen van de gegevens die worden 


verzameld. Hieronder vallen bv. de volgende maatregelen: 


> 
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firewalls op verschillende niveaus, waarmee netwerksegmenten op basis van systeem- 
rollen worden gescheiden en beveiligd; 

gegevensoverdracht wordt gecodeerd met beveiligingstechnologie; 

gebruik van digitale certificaten op servers; 

op functiescheiding gebaseerd administratief toegangsbeleid en toegangsprocedures; 
gebruik van gecodeerde toegangsbadges, biometrische scans en 24-uurscameracon- 
trole en bewaking voor toegangscontrole; 

uitgebreide interne controle van prestatie en beveiliging; 

opsporen en analyseren van indringers; 


Logging betekent dat (elektronisch) bijgehouden wordt wanneer, hoe en door wie gegevens geraadpleegd 


of bijgewerkt worden. Vaak wordt ook de term ‘audit trail’ gebruikt. 


> gedetailleerd beveiligingsbeleid, processen en procedures; 

> beveiligingscontrole door externe consultants. 

Zodra deze beveiligingssystemen zijn uitgewerkt, is een permanente opvolging noodza- 

kelijk om ervoor te zorgen dat de integriteit van gegevens en transacties gewaarborgd 

wordt en dat de opgelegde procedures daadwerkelijk worden opgevolgd. Dat wordt in vele 

organisaties en bedrijven zwaar onderschat. Vanuit het oogpunt van de interne controle 

bestaat de opvolging van de implementatie van de procedurele voorschriften en zake- 

lijke praktijken onder andere uit: 

> voortdurende controle in real time van mislukte transacties; 

> gedetailleerde procedures voor het oplossen van problemen; 

> ontwikkeling en onderhoud van informatiesystemen gebeuren binnen het kader en 
de regels van de vastgestelde ICT-architectuur volgens een standaardmethodiek, 
waarbij de documentatie volgens een vaste systematiek tot stand komt; 
beleid en procedures voor privacy en bekendmaking van gegevens; 
bij de invoering van nieuwe IT-systemen zijn strikte scheidingen aangebracht tussen 
de test-/ontwikkelomgeving, de acceptatietestomgeving en de productieomgeving; 

> de groep van gebruikers beheren (aanmaken van nieuwe gebruikers, verwerken van 
wijzigingen, schrappen van personeelsleden enz); 

> beveiligingsregels beheren (nieuwe beveiligde objecten toevoegen, nieuwe autorisa- 
tieregels in het systeem verwerken enz); 

> regelmatig rapporteren over de stand van zaken van eerder geïnventariseerde proble- 
men en op te lossen punten; 

> om computervirusinfecties te voorkomen, wordt alleen gewerkt met geautoriseerde 
versies van (legale) programmatuur; 

> het beheer en de opslag van gegevens gebeuren zodanig dat geen informatie verloren 
kan gaan; 
een proces om incidenten adequaat af te handelen en er lessen uit te trekken; 
rampenplannen en -voorzieningen om de continuïteit van de bedrijfsvoering en de 
Informatievoorziening te waarborgen en imagoschade te voorkomen. 


Met het oog op de functiescheiding is het belangrijk te benadrukken dat de IT-afdeling 
binnen geautomatiseerde organisaties nooit eenzijdig aanpassingen mag doen. De 
IT-verantwoordelijken moeten steeds handelen in functie van wat er in de rest van de 
organisatie of het bedrijf gebeurt. 


4.2 Opslag beveiligen 


Iedereen weet dat geldwaarden in een kluis bewaard moeten worden. In principe geldt 
dat voor alle activa. Afhankelijk van het type activa moet een aangepaste vorm van 
beveiliging uitgewerkt worden. 
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Het gebruik van een apart magazijn voor voorraadgoederen komt in vele bedrijven voor. 
Maar hiermee zijn de eigendommen nog niet beveiligd. 


Enkele principes die gebruikelijk zijn: 

> het magazijn is een afgesloten geheel en enkel de verantwoordelijke (de magazijnier) 
heeft toegang; 

> alle inkomende en uitgaande goederen worden geregistreerd. 


Binnen geautomatiseerde omgevingen moeten gegevens en de beschikbaarheid van ser- 
vices prioritair gegarandeerd worden. Vanuit het oogpunt van interne controle zijn de 
meest voorkomende beveiligingsstappen: 

> een rampenplan; 

gedetailleerde back-upstrategie en veilige off-site opslag; 

geclusterde databaseservers met hoge beschikbaarheid; 

redundante systemen, stroomvoorzieningen en netwerkverbindingen; 
serviceniveauovereenkomsten (‘Service Level Agreements: SLA’) met serviceproviders 
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om serviceniveaus te garanderen; 
uitgebreid wijzigingsbeheer en testbeleid; 


V 


24 uur per dag, 7 dagen per week ondersteuning door technisch personeel. 


4.3 Registratie van activa 
Alle investeringsgoederen worden best individueel gecodeerd met een registratienummer 
en genoteerd in een inventarislijst. Periodiek wordt deze lijst doorgenomen en getoetst 


aan de werkelijkheid. Eventuele afwijkingen moeten gecontroleerd worden en de inven- 
tarislijst moet vervolgens geactualiseerd worden. 


Goederen die worden meegegeven aan personeelsleden voor gebruik buiten het bedrijf 
(toegangsbadges, gsm, pc, printer enz.) worden opgelijst en afgetekend voor ontvangst. 
Deze lijst wordt bewaard in het personeelsdossier van de betrokkene. Bij beëindiging van 
de personeelsrelatie moet erop toegezien worden dat deze activa terug ingeleverd wor- 
den. 


J Budgetteren als controlemaatregel 


Budgetten zijn ramingen en bestaan uit schattingen. Toch zijn ze waardevol als contro- 
lemaatregel indien er gepoogd wordt om ‘het waarom’ te achterhalen van het feit dat het 
budget afwijkt van de realiteit. 


Wanneer bv. een personeelskost in een afdeling veel hoger is dan initieel geraamd werd 
in het budget kan na een analyse blijken dat de hoge personeelskost deels het gevolg is 
van het hoge verloop binnen die afdeling (aanwervingkosten, ontslagvergoedingen, over- 
brugging met duurdere interimkrachten). Hieruit kan misschien afgeleid worden dat dit 
hoge verloop te wijten is aan een gebrekkig HR-inzicht van de leiding. Misschien moet 
de personeelsfunctie herbekeken worden om personeelsverloop te verminderen. 


Het budget is een belangrijk element in de interne controle. Een budget legt niet alleen 
de doelstellingen vast, maar bepaalt eveneens de krijtlijnen van uitgaven, kosten, inves- 
teringen om de gestelde doelstellingen te bereiken. Het heeft dus niet alleen een taak- 
stellend karakter, maar ook de verantwoordelijkheden worden door een budget afgeba- 
kend. 


Het systeem van budgetteren is in wezen het logische gevolg van de delegatie van 
bevoegdheden. 


Hiermee is duidelijk dat de goedkeuring van het budget een bevoegdheid is van het 
topmanagement binnen een organisatie, omdat het impliciet de autorisatie is om de 
vastgelegde uitgaven te doen, die nodig zijn om de doelstellingen uit het budget te 
behalen. 


Vanuit het standpunt van de interne controle zijn budgetten bijgevolg een belangrijk 
toetsingsinstrument. 


Om deze rol van toetsingsinstrument op een zinvolle manier te kunnen vervullen, moe- 

ten een aantal voorwaarden worden vervuld, met name: 

> het budget moet goedgekeurd zijn door de hoogste leiding; 

> er moet een verband mogelijk zijn met de budgetten uit het verleden; 

> er moet best een verband zijn tussen de financiering van het budget en de liquidi- 
teitsplanning; 

> er moet een relatie zijn met andere budgetten (investeringsbudget, verkoopsbudget 
enz.); 
het budget moet aangepast zijn aan de aard en omvang van de organisatie /bedrijf; 
het budget moet in voldoende detail zijn opgemaakt (uitsplitsing tussen vaste en 
variabele kosten). 


CONTROLEMAATREGELEN 


